linux的安全加固

最新推荐文章于 2024-09-22 13:50:42 发布
最新推荐文章于 2024-09-22 13:50:42 发布
阅读量326 收藏 1
点赞数
分类专栏: linux-safe linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/seaship/article/details/116191561
版权
本文介绍了如何增强Linux服务器的安全性,包括设置复杂密码和密码策略,限制登录次数,禁止root用户远程登录,更改SSH端口,使用ipset封禁IP以及利用fail2ban控制连接数。这些措施能有效提升服务器的安全防护能力。
摘要由CSDN通过智能技术生成

1.设置复杂密码

服务器设置大写、小写、特殊字符、数字组成的12-16位的复杂密码 ,也可使用密码生成器自动生成复杂密码

2.设置密码策略

修改文件/etc/login.defs
PASS_MAX_DAYS 90 密码最长有效期
PASS_MIN_DAYS 10 密码修改之间最小的天数
PASS_MIN_LEN 8 密码长度
PASS_WARN_AGE 7 口令失效前多少天开始通知用户修改密码

3. 对密码强度进行设置

编辑文件/etc/pam.d/password-auth
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1

difok= 定义新密码中必须要有几个字符和旧密码不同
minlen=新密码的最小长度
ucredit= 新密码中可以包含的大写字母的最大数目。-1 至少一个
lcredit=新密码中可以包含的小写字母的最大数
dcredit=定新密码中可以包含的数字的最大数目

注:这个密码强度的设定只对"普通用户"有限制作用,root用户无论修改自己的密码还是修改普通用户的时候,不符合强度设置依然可以设置成功

4.对用户的登录次数进行限制

编辑文件 /etc/pam.d/sshd
auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300

pam_tally2   查看被锁定的用户
pam_tally2  --reset  -u  username      将被锁定的用户解锁

5. 进制root用户远程登录

禁止ROOT用户远程登录 。打开 /etc/ssh/sshd_config
#PermitRootLogin no
注:生效要重启sshd进程。

6. 更改ssh端口

vim /etc/ssh/sshd_config ,更改Port或追加Port
注:生效要重启sshd进程。

7. 使用ipset封IP---ipset是iptables的扩展,它允许你创建 匹配整个地址集合的规则
#apt-get install ipset
ipset默认可以存储65536个元素,使用maxelem指定数量
ipset create blacklist hash:net maxelem 1000000 #黑名单
ipset create whitelist hash:net maxelem 1000000 #白名单

//创建一条
ipset create blacklist hash:ip hashsize 4096 maxelem 1000000
在ipSet添加、删除IP
ipset add blacklist 10.10.10.xx //添加IP
ipset del blacklist 10.10.10.xx //删除IP

创建防火墙规则,在iptables添加一条记录:
iptables -A INPUT -m set --match-set blacklist src -j DROP

将ipset规则保存到文件中
ipset save blacklist -f blacklist.txt
ipset save whitelist -f whitelist.txt

删除ipset
ipset destroy blacklist
ipset destroy whitelist

导入ipset规则
ipset restore -f blacklist.txt
ipset restore -f whitelist.txt

8. fail2ban的使用-控制连接数

#apt-get install fail2ban
#systemctl start fail2ban

安装后,Fail2ban将立即开始工作,但仅适用于SSH和默认设置。现在添加我们需要的设置。整个配置在文件/etc/fail2ban/jail.conf中。我们以SSH为例,按需要更改SSH部分:
[ssh]
enabled = true
port = ssh
filter = sshd
logpath = /var/log/auth.log
maxretry = 5
findtime = 3600
bantime = 86400
maxretry:在findtime参数指定的时间内最大错误连接数
findtime:日志文件中分析错误连接数的时间。以秒计算
bantime:阻塞时间(以秒为单位)
启动并启用Fail2ban服务
现在,在一小时内输入5个错误密码后,该地址将被封锁一天。您可以使用以下命令找到包含的保护列表:
fail2ban–client status
您可以使用以下命令查找每个服务的受阻止客户端的统计信息:
fail2ban–client status service_name

seaship
关注
专栏目录
Linux安全加固1
qq_31331333的博客
05-04 894
1.可以执行history命令查看历史命令: 1)保存1万条命令 可以在/etc/profile中进行修改: 找到:HISTSIZE=1000 修改为:HISTSIZE=10000 2)为历史的命令增加登录的IP地址、执行命令时间等 在/etc/profile的文件尾部添加如下行数配置信息: USER_IP=`who -u am i 2>/dev/null| awk '{prin...
linux 找回当前密码错误,Linux系统错误恢复-/etc/passwd文件解析
weixin_35318343的博客
05-02 625
etc/passwd和/etc/shadow对于整个系统来说是至关重要的,关乎到系统能否正常使用和登陆。本人就linux主机灾难恢复阐述/etc/passwd作用。故障起因:创建账户useradd sky然后将root加入到sky用户组usermod -G sky root,之后将用户sky删除userdel –r sky,然后又新建了用户sky,将其加入到test用户组中,useradd -g...
Linux操作系统安全加固总结
weixin_43996007的博客
06-30 4930
Linux操作系统安全加固总结 1、修改umask的默认值 设置并修改umask的默认值可以限制用户对文件或目录的权限。一般将umask的默认值修改为027。在/etc/profile中添加umask 027。 2、修改历史命令保存条数 使用history命令可以查看历史执行的命令。在/etc/profile文件中修改”HISTSIZE“的数值即可。使用source /etc/profile命令使设置生效。 3、修改密码的使用期限 修改/etc/login.defs中的PASS_MAX_DAYS=90
Linux服务器安全加固10条建议_difok
最新发布
2401_87299161的博客
09-22 314
腾讯云平台有安全组功能,里面您只需要放行业务协议和端口,不建议放行所有协议所有端口,参考文档:https://cloud.tencent.com/document/product/215/20398。打开 /etc/ssh/sshd_config。编辑文件/etc/pam.d/password-auth。打开 /etc/profile ,修改如下。编辑文件 /etc/pam.d/sshd。程序日志 /data1/logs/重要数据 /data1/data/应用程序 /data1/app/
解决ulimit不生效的问题
宫凯宁的博客
04-17 8878
经常遇到设置了ulimit参数之后,使用root 用户su 到普通用户发现ulimit已经生效,但是直接用普通用户ssh登陆却不生效的问题,这主要是ssh配置的问题。 解决方法如下: 首先查看ssh的版本,ssh -V 如果版本是7.3及以下:修改/etc/ssh/sshd_config中 UseLogin的值为yes UseLogin yes后,重启sshd服务service sshd res...
Linux密码复杂度设置及登录失败策略设置
DaQiangZhuang的博客
11-14 4767
Ubuntu和CentOS设置密码规则和登录失败策略,登录失败锁定。
linux安全加固方案.pdf
03-15
### Linux安全加固方案详解 #### 一、严格按照用户类型分配账号 在Linux系统中,合理的用户管理至关重要。根据用户的工作性质、职责范围等条件来分配不同的用户类型,并确保每个用户只具备完成其工作所需的最低权限...
LINUX安全加固手册.pdf
09-29
"LINUX安全加固手册" LINUX操作系统的安全加固是一项复杂的任务,需要从多方面入手,涵盖了密码安全策略、用户帐号安全、网络服务安全等多个方面。以下是LINUX安全加固手册中的一些关键知识点: 一、概述 LINUX...
Linux安全加固操作手册
12-28
"Linux 安全加固操作手册" 本文档将详细介绍 Linux 操作系统的安全加固操作手册,涵盖身份鉴别、用户口令安全、口令生存期限制、账号锁定策略等多个方面。 1. 身份鉴别 Linux 操作系统中,身份鉴别是非常重要的...
LINUX 安全加固及优化.docx
12-01
Linux 安全加固及优化 Linux 系统优化及安全是当前 IT 行业中非常重要的一个话题,随着网络攻击和数据泄露的增加,系统安全变得越来越重要。下面我们将对 Linux 系统的安全加固及优化进行详细的介绍。 一、保护...
(完整版)工业互联网.docx
09-20
(完整版)工业互联网.docx
linux|奇怪的知识---账号安全加固,ssh安全加固
zsk_john的技术分享专用博客
02-28 3466
一般情况下,我们对于账号的安全是比较随意的,因为在生产环境里,基本都是使用堡垒机这样的带有安全审计功能的工具对各个主机进行监控,管理,并且结合prometheus,zabbix等等其它监控软件,会对主机的一个整体概况有一个直观的感受。 OK,如果堡垒机什么的任意一个点被持有恶意的人攻破,那么,无疑是会引发数据泄露的,因此,我们需要从根源上对主机做安全加固,比如, 操作系统内的所有用户的密码设定复杂度,例如,密码长度不低于8位,必须带有大小写和特殊符号至少一个,密码不得设定为常用字,例如,不得设置syst
linux 关闭密码复杂化,Linux下的密码复杂程度设置
weixin_39616056的博客
04-29 573
linux,设置密码复杂度的方法有几个1.一个是在/etc/login.defs文件,里面几个选项PASS_MAX_DAYS90#密码最长过期天数PASS_MIN_DAYS80#密码最小过期天数PASS_MIN_LEN10#密码最小长度PASS_WARN_AGE7#密码过期警告天数2.另外一个方法是,修改/etc/pam.d/system-auth...
Linux】等保(三级)核查の操作命令笔记(部分)
真的好想再回到那时,可现在能做的只有补救。————个人博客:https://w7h1te.github.io/
08-18 3336
Linux】等保(三级)核查の操作命令笔记(部分参考)
Ubuntu使用crablib实现系统密码复杂度管理
flycutter的专栏
05-29 3172
安装软件包: apt-get install libpam-cracklib 修改PAM配置文件: vim /etc/pam.d/common-password 在“password    requisite    pam_cracklib.so”后加上参数 retry=N:用户最多可以几次输入密码后报错
linux 账号密码安全加固
01-14 294
Red Hat Enterprise Linux AS release 4 Linux用户密码策略 Linux用户密码的有效期,是否可以修改密码可以通过login.defs文件控制....
linux下设置密码复杂度限制,怎么设置?
weixin_33875564的博客
01-11 2586
linux,设置密码复杂度的方法有几个1. 一个是在/etc/login.defs文件,里面几个选项PASS_MAX_DAYS 90 #密码最长过期天数PASS_MIN_DAYS 80 #密码最小过期天数PASS_MIN_LEN 10 #密码最小长度PASS_WARN_AGE 7 #密码过期警告天数2. 另外一个方法是,修改/etc/pam.d/system-auth...
Linux账户密码过期安全策略设置
shenxiaomo1688的博客
04-28 3178
Linux系统管理中,有时候需要设置账号密码复杂度(长度)、密码过期策略等,这个主要是由/etc/login.defs参数文件中的一些参数控制的的。它主要用于用户账号限制,里面的参数主要有下面一些: # Password aging controls: # # PASS_MAX_DAYS Maximum number of days a password may be used. ...
linux 安全加固
09-19
Linux安全加固可以采取以下措施: 1. 限制用户对系统资源的使用,以减缓DDOS等攻击危害: - 修改限制文件 `/etc/security/limits.conf`,设置用户的核心文件限制、进程数限制、内存限制等。 - 修改pam的本地登录文件 `/etc/pam.d/login`,在文件末尾加入信息以确保限制生效。 - 定期收集进程数使用 `ps aux |grep httpd |wc -l`,以监控用户进程数使用情况。 - 对用户的常用命令如`ls`、`rm`设置别名,以增加安全性。 2. 检查是否有账号获取过高权限: - 检查哪些账户属于其他组,特别关注UID起始值是否正常,小于1000的账户可能存在风险。 - 查看能登录系统的用户组ID和用户ID,确保没有未授权的高权限账户存在。 3. 根据不同用途设置不同账户账号,提高安全层级: - 创建多用途账号,为不同的用途创建不同的账户,并设置密码和目录权限。 - 对普通账户使用特定授权命令 `sudo`,限制其执行特定命令的权限。 - 修改sudo的提权应用,可以通过修改`/etc/sudoers`文件或使用命令`visudo`来进行设置。 4. 定期检查高权限文件,确保权限设置正确。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值